Przetwarzanie i ochrona danych osobowych, czyli jak chronić swoją prywatność

Czy masz wrażenie, że tematyka ochrony danych osobowych to wiedza tajemna? Gubisz się w świecie formularzy zgód, polityki prywatności, klauzul i komunikatów, które są dla Ciebie zupełnie niezrozumiałe? Może kiedyś w pracy uczestniczyłeś nawet w jakimś szkoleniu poświęconemu danym, ale w Twojej głowie jest po nim więcej pytań niż odpowiedzi? Albo zastanawiają Cię pewne kwestie, ale nie miałeś okazji albo odwagi o nie dopytać? Być może odpowiedzi na Twoje pytania znajdziesz właśnie w poniższym artykule.

Publikacja: 26.11.2023 17:33

Przetwarzanie i ochrona danych osobowych, czyli jak chronić swoją prywatność

Foto: Adobe Stock

Warto sobie przypomnieć, czym są dane osobowe i w jakich sytuacjach są przetwarzane.

PRZYPADEK 1.

Dane osobowe, czyli właściwie co?

Ostatnio zapisałam się na zajęcia artystyczne prowadzone przez jakąś spółkę. Przed rozpoczęciem zajęć poproszono uczestników o zapoznanie się z regulaminem pracowni i informacją o przetwarzaniu danych osobowych. Czy skoro zostałam poproszona wyłącznie o podanie imienia i nazwiska ta spółka w ogóle przetwarza moje dane osobowe?

Czym właściwie są dane osobowe? Odpowiedź na to podstawowe pytanie zawiera grafika >patrz schemat 1.

Zwróć proszę uwagę, że dane osobowe to informacje o ludziach, które pozwalają odróżnić konkretną osobę od innych osób, czyli nas identyfikują. Jeżeli zatem zastanawiasz się, czy jakaś informacja to dane osobowe czy nie, odpowiedz sobie na pytanie, czy ta informacja (albo połączenie kilku informacji) pozwala na identyfikację danej osoby.

Zakres tych informacji jest bardzo szeroki. Mogą to być informacje obiektywne, jak i subiektywne, prawdziwe, jak i niesprawdzone. Przyjrzyj się następującym przykładom:

- XY jest kierownikiem referatu oświaty w Urzędzie Miasta Z. Rok temu się rozwiodła. To życzliwa urzędniczka, która chętnie pomaga mieszkańcom w rozwiązywaniu ich problemów.

- AB jest aktualną mistrzynią Polski w tej dyscyplinie, ale nie zasługiwała na wygraną w ostatnich zawodach, ponieważ stopień trudności jej choreografii był niski. Prywatnie jest podobno opryskliwa.

Pierwsza podkreślona część stanowi informację obiektywną, druga – subiektywną.

Wbrew częstemu przekonaniu pojęcie danych osobowych nie obejmuje tylko życia prywatnego ludzi (naszych przekonań, życia intymnego, rodzinnego), ale też innych okoliczności, np. kariery zawodowej, aktywności społecznej.

Czytaj więcej

Co zrobić, gdy doszło do wycieku danych osobowych

Odpowiadając na zadane wcześniej pytanie, należy wskazać, że imię i nazwisko uczestnika zajęć bezpośrednio go identyfikuje. Zatem imię i nazwisko stanowią dane osobowe.

PRZYPADEK 2.

Co z RODO na weselu, chrzcinach i osiemnastkach?

Podczas przyjęcia weselnego zamierzamy skorzystać z usług fotografa i kamerzysty, ponieważ chcielibyśmy mieć pamiątkę z tego ważnego dla nas dnia. Planujemy również wyświetlić prezentację multimedialną z fotografiami członków naszych rodzin oraz przyjaciół. Czy przed rozpoczęciem uroczystości powinniśmy poprosić gości oraz osoby, których zdjęcia znajdą się w prezentacji, o zgodę na przetwarzanie ich danych osobowych? Czy ich wizerunek to w ogóle dane osobowe? Może wystarczy, jeśli nie będziemy zamieszczać ich imion, nazwisk osób oraz dat i miejsc wydarzeń uwiecznionych na fotografiach?

Ta sytuacja zawiera kilka ważnych kwestii. Skoro nie jesteśmy pytani o zgodę w takich sytuacjach, zdawać by się mogło, że po prostu kwestia ochrony danych osobowych w pewnych kręgach lub sytuacjach się nie przyjęła i po prostu pary młode w ferworze ślubnych przygotowań o RODO zapominają. Czy rzeczywiście zaczynają nowe życie od naruszenia przepisów?

Już wiemy, że podczas przygotowywania przyjęcia są przetwarzane dane osobowe. Gdzie je znajdziemy? Na liście gości, na winietkach, w zaproszeniach. Para młoda zbiera też informacje o liście wegetarian, wieku dzieci itd. Czy wizerunek gości uwieczniony na zdjęciach i nagraniach to również dane osobowe? Tak, ponieważ pozwala na odróżnienie ich od innych członków grupy.

W tym miejscu warto wspomnieć, że w maju 2023 roku przez IMAS International na reprezentatywnej próbie 1007 Polaków na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów Biura Informacji Gospodarczej pod patronatem Urzędu Ochrony Danych Osobowych oraz Instytutu Prawa Ochrony Danych Osobowych zostało przeprowadzone badanie „Wiedza na temat bezpieczeństwa ochrony danych osobowych w Polsce” (vide: https://uodo.gov.pl/pl/138/2728).

Na pytanie, co wchodzi w skład danych osobowych, prawie 92 proc. respondentów odpowiedziało, że PESEL. Tylko kilka procent mniej wskazało imię i nazwisko. Natomiast mniej niż połowa wiedziała, że również wizerunek stanowi dane osobowe.

Co ciekawe, na odciski palców, które pozwalają na jednoznaczną identyfikację osoby, zwrócił uwagę tylko co trzeci respondent >patrz schemat 2.

Wracając do omawianego przypadku, należy podkreślić, że podczas przyjęcia weselnego są przetwarzane dane osobowe. Natomiast RODO nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej. Organizowanie własnego przyjęcia weselnego pozostaje bez związku z działalnością zawodową lub handlową pary młodej. Działalność osobista lub domowa może polegać na korespondencji i przechowywaniu adresów czy podtrzymywaniu więzi społecznych. Takich przypadków RODO nie reguluje, mimo że mogą one obejmować przetwarzanie danych osobowych.

PRZYPADEK 3.

RODO w kościołach i związkach wyznaniowych

Kościoły przetwarzają dane osobowe swoich wiernych. Czy w związku z tym po prostu zastosowanie do nich znajduje RODO, a nadzór sprawuje Prezes Urzędu Ochrony Danych Osobowych?

Czytaj więcej

Jak chronić swoje dane osobowe podczas rozmów z telemarketerami

Co prawda kościoły lub związki wyznaniowe są zobowiązane do przestrzegania RODO, jednak te z nich, które w momencie wejścia w życie RODO, stosowały już wewnętrzne zasady ochrony danych osobowych, posiadają dalszą możliwość stosowania swoich, autonomicznych, szczegółowych regulacji w tym zakresie. Te regulacje muszą być jedynie dostosowane do RODO.

Należy wskazać, że Kościół katolicki w Polsce uregulował kwestie dotyczące ochrony prywatności i intymności w kodeksie prawa kanonicznego, w regulacjach Konferencji Episkopatu Polski (np. przepisy dotyczące prowadzenia ksiąg parafialnych) oraz w stosownych instrukcjach. Nadzór nad ich przestrzeganiem sprawuje kościelny inspektor ochrony danych, a nie prezes urzędu ochrony danych osobowych.

Kilkanaście kościołów i związków wyznaniowych w Polsce posiada autonomiczne regulacje dotyczące danych osobowych.

PRZYPADEK 4.

Czy przetwarzanie danych osobowych jest zakazane?

Rezerwując stolik w restauracji, zamawiając tort w cukierni czy zapisując się do fryzjera lub lekarza, podaję swoje imię i nazwisko. Czy to prawda, że jest to niezgodne z prawem i w takich sytuacjach powinno się podawać jakiś pseudonim lub hasło?

Nie jest prawdą, że RODO zakazuje przetwarzania danych osobowych. Jego celem jest wprowadzenie jednolitych zasad ochrony danych. Przetwarzanie danych jest niezbędnym elementem naszego funkcjonowania. Gdy zawieramy umowę, musimy zidentyfikować jej strony. Następnie wymieniamy się danymi w celu kontaktu podczas jej realizacji. Każdego dnia przetwarzasz dane osobowe: gdy zamawiasz nowe spodnie w sklepie internetowym, wynajmujesz mieszkanie, zaciągasz kredyt, zapisujesz się na nowe zajęcia, wysyłasz e-maile lub do kogoś dzwonisz, szukasz pracy, wykupujesz wycieczkę. Ważne jednak, żeby te dane były właściwie chronione. W tym celu powstało kilka zasad, zgodnie z którymi np. nie powinno się zbierać danych na zapas (co prawda te dane nie są niezbędne do realizacji celu, ale może kiedyś się przydadzą). Jeżeli zamawiasz ciasto i jesteś proszony o podanie imienia i nazwiska, nie jest to nadużycie – przecież zawierasz umowę z cukiernikiem. Natomiast zwróć uwagę, czy ilość wymaganych danych jest dostosowana do celu, np. pytanie o nazwisko panieńskie matki, stan cywilny czy ilość dzieci nie będzie uzasadnione.

PRZYPADEK 5.

Czym są dane wrażliwe?

Bardzo często słyszę, że RODO dotyczy tylko danych wrażliwych. Dopóki ich nie przetwarzam, to obowiązki w zakresie ochrony danych osobowych mnie nie dotyczą. Czy to prawda?

Nie. Dane wrażliwe, inaczej sensytywne (czyli szczególne kategorie danych) to dane, które zasługują na większą ochronę, ponieważ kontekst ich przetwarzania może powodować poważne ryzyko dla naszych praw i wolności. Do tej grupy zaliczamy dane dotyczące stanu zdrowia, ujawniające pochodzenie rasowe lub etniczne, dane dotyczące wyznania, orientacji seksualnej, dane biometryczne (np. odciski palców). Ich przetwarzanie może powodować poważne ryzyko naszych praw i wolności. Zwróćmy uwagę, że konsekwencje wycieku imienia i nazwiska oraz np. rozmiaru naszych butów co do zasady nie są tak poważne jak wyciek danych dotyczących orientacji seksualnej czy stanu zdrowia, który może prowadzić do dyskryminacji na rynku pracy czy w środowisku sąsiedzkim. Z tego powodu dane sensytywne są przetwarzane z większą ostrożnością. Nie zmienia to jednak faktu, że RODO obejmuje zarówno dane zwykłe, jak i wrażliwe. Zatem jeżeli masz nawet ograniczony dostęp do danych zwykłych (możesz je przeglądać, ale nie np. modyfikować czy usuwać), przetwarzasz dane osobowe. Przetwarzanie jest pojęciem bardzo szerokim. Dotyczy wszystkich czynności wykonywanych na danych osobowych.

Czytaj więcej

Ile warte są dane osobowe w internecie i za co nimi płacimy

PRZYPADEK 6.

Dlaczego nie zawsze jestem proszony o zgodę

Korzystając z różnych usług, jestem proszony o podanie danych (np. imienia, nazwiska i adresu wysyłki). Dlaczego niektórzy dostawcy usług wymagają ode mnie wyrażenia zgody na przetwarzanie danych osobowych, a niektórzy nie?

W tym aspekcie rzeczywiście łatwo się pogubić i przedsiębiorcy bardzo często popełniają błędy. Jeżeli dane osobowe są niezbędne do wykonania umowy, której jestem stroną, zgoda nie jest wymagana i nie powinna być pobierana. Zatem jeżeli zamawiam sprzęt sportowy w sklepie internetowym, to takie dane jak imię, nazwisko, adres wysyłki, adres e-mail w celu przesłania mi potwierdzenia zamówienia, specyfikacja towaru: np. wzrost, waga są niezbędne do zawarcia tej umowy.

W takiej sytuacji dostawca nie powinien prosić mnie o zgodę na przetwarzanie tych danych, tylko przekazać mi informację, jakie dane, w jaki sposób oraz jak długo będą przetwarzane.

Jeżeli jednak dodatkowo sprzedawca prosi mnie o podanie innych danych, które nie są niezbędne do zawarcia i realizacji umowy, ale będą dla niego przydatne np. do udoskonalenia swoich usług, oceny zapotrzebowania klientów na inne produkty, mogę, ale nie muszę wyrazić na to zgodę. Zgoda może również dotyczyć celów marketingowych i promocyjnych.

Warto sobie przypomnieć, czym są dane osobowe i w jakich sytuacjach są przetwarzane.

PRZYPADEK 1.

Pozostało 99% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Sądy i trybunały
Rosati: Manowska blokuje posiedzenie Trybunału Stanu
Nieruchomości
Trybunał: nabyli działkę bez zgody ministra, umowa nieważna
Sądy i trybunały
Jest nowy prezes sądu w Olsztynie. W miejsce Macieja Nawackiego
Prawnicy
Prokurator Ewa Wrzosek: Nie popełniłam żadnego przestępstwa
Prawnicy
Rzecznik dyscyplinarny adwokatów przegrał w sprawie zgubionego pendrive'a